Flexible Security for Your Peace of Mind

MGM Resorts-Hack: Wie Angreifer dank Social Engineering den Jackpot knacken

Der Hotel- und Entertainment-Gigant MGM Resorts ist nach einem schwerwiegenden Cyberangriff, der mit einem betrügerischen Anruf beim Service Desk begann, völlig durcheinander. Nach weitreichenden Ausfällen in den berühmten Hotels in Las Vegas, darunter das MGM Grand, Bellagio, Aria und Cosmopolitan, kämpft man seit letzter Woche darum, die Systeme wieder online zu bringen.

Der Angriff hat Berichten zufolge zu Ausfällen der internen Netzwerke, Geldautomaten, Spielautomaten, digitalen Zimmerkarten und elektronischen Zahlungssystemen geführt. Sogar Fernsehdienste und Telefonleitungen sind ausgefallen, und das Personal muss sich mit Stift und Papier behelfen, um die langen Warteschlangen der Gäste zu bewältigen.

Der Tathergang

Wer wurde angegriffen: MGM Resorts
Art des Angriffs: Ransomware, Exfiltration von Daten
Einbruchsmethode: Social Engineering (Vishing von Service Desk), Privilege Escalation
Auswirkungen: Systemausfall, Betriebsunterbrechung, Datenpanne (möglicherweise mehr, Angriff dauert an)
Wer war verantwortlich: Scattered Spider/UNC3944 (vermutlich eine Untergruppe der ALPHV-Ransomware-Gruppe) übernahm am 12.9.23 die Verantwortung.

Wie kam es zu dem Angriff?

Scattered Spider (auch bekannt als UNC3944) hat sich zu dem Angriff bekannt und erklärt, dass sie sich seit dem 8.9.23 in den Systemen von MGM Resorts befinden. Es wird angenommen, dass sie eine Untergruppe der größeren ALPHV-Ransomware-Gruppe sind. Die Hacker haben vx-underground mitgeteilt, dass sie Social Engineering als ersten Einstiegspunkt verwendet haben. Sie waren in der Lage, einen Mitarbeiter von MGM Resorts auf LinkedIn ausfindig zu machen, sich als diesen auszugeben und den Service Desk des Unternehmens anzurufen, um Zugang zu dessen Konto zu erhalten. Dies deutet darauf hin, dass es kein System zur Verifizierung der Endbenutzer am Service Desk gab. Nach dem ersten Zugriff verschafften sie sich Administratorrechte und setzten einen Ransomware-Angriff in Gang.

In einer Erklärung mit dem Titel “Setting the record straight”, die am 14.9.23 veröffentlicht wurde, gab die Hackergruppe eine detaillierte Erklärung für den Ablauf des Angriffs: “MGM traf die überstürzte Entscheidung, jeden einzelnen ihrer Okta-Sync-Server abzuschalten, nachdem sie erfahren hatten, dass wir auf ihren Okta-Agent-Servern gelauert hatten, um die Passwörter von Personen zu erschnüffeln, deren Passwörter aus den Hash-Dumps ihrer Domain-Controller nicht geknackt werden konnten. Das führte dazu, dass ihr Okta komplett gesperrt wurde. In der Zwischenzeit hatten wir weiterhin Superadministrator-Rechte für Okta sowie Global-Administrator-Rechte für ihren Azure-Tenant.

Am Sonntagabend implementierte MGM bedingte Einschränkungen, die den gesamten Zugriff auf ihre Okta-Umgebung (MGMResorts.okta.com) aufgrund unzureichender administrativer Fähigkeiten und schwacher Playbooks für die Reaktion auf Vorfälle ausschlossen. Das Netzwerk des Unternehmens wurde seit Freitag infiltriert. Da die Netzwerktechniker nicht wussten, wie das Netzwerk funktioniert, war der Netzwerkzugang am Samstag problematisch. Das Unternehmen beschloss daraufhin, scheinbar wichtige Komponenten seiner Infrastruktur am Sonntag “offline” zu nehmen.

“Nachdem wir einen Tag gewartet hatten, starteten wir am 11. September erfolgreich Ransomware-Angriffe gegen mehr als 100 ESXi-Hypervisoren in ihrer Umgebung, nachdem wir versucht hatten, mit ihnen in Kontakt zu treten, was jedoch fehlschlug. Dies geschah, nachdem sie externe Firmen zur Unterstützung bei der Eindämmung des Vorfalls hinzugezogen hatten.”

Es ist noch nicht bekannt, welche Daten exfiltriert wurden oder welche Auswirkungen der Vorfall haben könnte, obwohl ALPHV in der Vergangenheit dafür bekannt war, gestohlene Dateien im Dark Web zu veröffentlichen. Es klingt auch nicht so, als ob Scattered Spider bereit wäre, aufzugeben.

“Wir haben nach wie vor Zugang zu einem Teil der Infrastruktur von MGM. Wenn keine Einigung erzielt wird, werden wir weitere Angriffe durchführen. Wir warten weiterhin darauf, dass MGM sich ein Herz fasst und sich meldet, denn sie haben deutlich gezeigt, dass sie wissen, wo sie uns erreichen können.”

Specops-Analyse: Was können wir aus dem MGM-Resorts-Angriff lernen?

Zunächst einmal ist es wichtig festzustellen, dass dies kein einmaliger Fall ist. MGM Resorts ist nicht einmal die erste Kasinogruppe, die in den letzten zwei Monaten angegriffen wurde. In jüngster Zeit gab es weitere schwerwiegende Vorfälle, bei denen Service Desks durch Social Engineering angegriffen wurden – ein ähnlicher Vorfall ereignete sich im Jahr 2021 mit dem EA Games-Angriff.

Nach den vorliegenden Informationen lag der Schlüssel zur Vermeidung dieses Vorfalls in der Vereitelung des ersten Zugriffsversuchs. Dieser Angriff hätte mit besseren Authentifizierungsprotokollen verhindert werden können, die es dem Servicedesk ermöglicht hätten, zu überprüfen, ob der “ausgesperrte Mitarbeiter” wirklich derjenige ist, der er vorgibt zu sein. Den Quellen zufolge war der Angreifer in der Lage, einen Service-Desk-Mitarbeiter zu täuschen (Phishing per Sprachanruf), ohne sich über einen anderen Faktor authentifizieren zu müssen.

Interessant ist auch, dass die Hacker behaupten, der Angriff sei ursprünglich nicht als Ransomware-Angriff geplant gewesen, sondern habe sich aus “Rache für eine schlecht geführte Verhandlung” ergeben. Dies zeigt das Risiko eines langwierigen und eskalierenden Angriffs durch einen Angreifer. In diesem Fall ist es möglich, dass die Angreifer während ihrer anfänglichen Aufklärungsphase entdeckt wurden, bevor sie mit dem Ransomware-Angriff “loslegten”. Die Erkennung gängiger Ransomware-Toolkits reicht nicht aus – Unternehmen benötigen einen umfassenden Überblick über ihre gesamte Umgebung durch eine Kombination von Tools, wie PTaaS, EDR und SIEM.

Verhindern Sie den ersten Zugriff durch die Überprüfung der Identität des Endbenutzers

Mit Specops Secure Service Desk können Sie sicher die Verifizierung von Anrufern erzwingen, anstatt sich auf unsichere oder “auf dem Papier” stehende Prozesse zu verlassen, die anfällig für menschliche Fehler sind. Secure Service Desk-Kunden können Authentifizierungsmethoden verwenden, die die Möglichkeit der Nachahmung von Benutzern ausschließen, indem sie für die Verifizierung etwas verlangen, das der Benutzer besitzt, und nicht nur etwas, das der Benutzer oder ein Angreifer wissen könnte.

Secure Service Desk erhöht die Möglichkeiten zur Identitätsüberprüfung. Diese reichen von mobilen oder E-Mail-Verifizierungscodes bis hin zu kommerziellen Anbietern wie Duo Security, Okta und PingID. Alle unterstützten Identitätsservices gehen über die, auf Wissen basierende “etwas, das Sie wissen”-Methode hinaus, indem sie “etwas, das Sie haben” verlangen, wie z. B. den Besitz eines Geräts.

Wenn Sie das Risiko von Social Engineering am Service Desk beseitigen möchten, indem Sie eine Benutzerverifizierung erzwingen, bevor Sie das Zurücksetzen eines Passworts oder die Entsperrung eines Kontos zulassen, kontaktieren Sie uns, um zu erfahren, wie Secure Service Desk in Ihrer Infrastruktur funktionieren könnte.

Specops Authentication
Schützen Sie sich vor Social Engineering Angriffe auf Ihren IT-Helpdesk mit Secure Servicedesk von Specops

(Zuletzt aktualisiert am 19/09/2023)

Zurück zum Blog